Reklamy, które się same otwierają

[xasx]

Witam serdecznie,
od pewnego czasu mam problemy z reklamami, które same się uruchamiają nawet, gdy przeglądarka aktualnie nie jest włączona. Bardzo proszę Was o pomoc, to nie tylko jest irytujące, ale po prostu utrudnia prace na komputerze.
OTL - Dostępne tylko dla zarejestrowanych użytkowników
Extras - Dostępne tylko dla zarejestrowanych użytkowników

[kominekl]

"{0965F857-DAAD-4F93-8054-0E2EC3C8C5B0}" = SweetIM for Messenger 3.6
"{86D4B82A-ABED-442A-BE86-96357B70F4FE}" = Auslogics Toolbar
"{CD95D125-2992-4858-B3EF-5F6FB52FBAD6}" = Skype Toolbars
"AutocompletePro3_is1" = AutocompletePro
"Avira AntiVir Desktop" = Avira Free Antivirus
"eMusic Promotion" = 50 FREE MP3s +1 Free Audiobook!
"Free_Lunch_Design Toolbar" = Free Lunch Design Toolbar
"PK-PCSU_is1" = Przyspiesz Komputer
"TUTO4PC_is1" = TUTO4PC
"tuto4pc_pl_7_is1" = tuto4pc_pl_7
"Winamp Toolbar" = Winamp Toolbar
"{79A765E1-C399-405B-85AF-466F52E918B0}" = Auslogics Toolbar Updater
"Akamai" = Akamai NetSession Interface
"SoftwareUpdUtility" = Download Updater (AOL LLC)

Odinstaluj.

Combofix.

Wejdź w START -> URUCHOM -> i wklej tam -> "C:\Users\Aśka\Desktop\ComboFix.exe" /uninstall .

Logi.

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Users\AKA~1\AppData\Local\Temp\phoenix\PhnxBldr.sys -- (PhnxBuilder)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Users\AKA~1\AppData\Local\Temp\catchme.sys -- (catchme)
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników{1D29E4D1-A9B0-11E1-8BFE-506313BB0025}
IE - HKLM\..\URLSearchHook: {57BCA5FA-5DBB-45a2-B558-1755C3F6253B} - C:\Program Files\Winamp Toolbar\winamptb.dll (AOL Inc.)
IE - HKLM\..\URLSearchHook: {57cc715d-37ca-44e4-9ec2-8c2cbddb25ec} - C:\Program Files\Free_Lunch_Design\prxtbFre0.dll (Conduit Ltd.)
IE - HKLM\..\SearchScopes,DefaultScope = {afdbddaa-5d3f-42ee-b79c-185a7020515b}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&FORM=IE8SRC
IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&SearchSource=4&ctid=CT1708250
IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&barid={1D29E4D1-A9B0-11E1-8BFE-506313BB0025}
IE - HKLM\..\SearchScopes\{EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&invocationType=tb50-ie-winamp-chromesbox-en-us&tb_uuid=20110415170356381&tb_oid=15-04-2011&tb_mrud=15-04-2011
IE - HKU\S-1-5-21-3217695162-115095205-1628455998-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKU\S-1-5-21-3217695162-115095205-1628455998-1000\..\URLSearchHook: {00000000-6E41-4FD3-8538-502F5495E5FC} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask)
IE - HKU\S-1-5-21-3217695162-115095205-1628455998-1000\..\URLSearchHook: {57BCA5FA-5DBB-45a2-B558-1755C3F6253B} - C:\Program Files\Winamp Toolbar\winamptb.dll (AOL Inc.)
IE - HKU\S-1-5-21-3217695162-115095205-1628455998-1000\..\URLSearchHook: {57cc715d-37ca-44e4-9ec2-8c2cbddb25ec} - C:\Program Files\Free_Lunch_Design\prxtbFre0.dll (Conduit Ltd.)
IE - HKU\S-1-5-21-3217695162-115095205-1628455998-1000\..\SearchScopes,DefaultScope = {6A1806CD-94D4-4689-BA73-E35EA1EA9990}
IE - HKU\S-1-5-21-3217695162-115095205-1628455998-1000\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&src=IE-SearchBox&FORM=IE8SRC
IE - HKU\S-1-5-21-3217695162-115095205-1628455998-1000\..\SearchScopes\{34B0D7F6-5948-48FD-AC4D-4302FD398035}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&locale=en_US&apn_ptnrs=^AU&apn_dtid=^YYYYYY^YY^PL&apn_uid=00bd44e5-6c19-4164-b541-e26fb2b1b99b&apn_sauid=B00B0E1F-136A-42F3-96A6-A57DB55DAF14
IE - HKU\S-1-5-21-3217695162-115095205-1628455998-1000\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&SearchSource=4&ctid=CT1708250
IE - HKU\S-1-5-21-3217695162-115095205-1628455998-1000\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&barid={1D29E4D1-A9B0-11E1-8BFE-506313BB0025}
IE - HKU\S-1-5-21-3217695162-115095205-1628455998-1000\..\SearchScopes\{EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&invocationType=tb50-ie-winamp-chromesbox-en-us&tb_uuid=20110415170356381&tb_oid=15-04-2011&tb_mrud=15-04-2011
FF - prefs.js..browser.search.defaultengine: "Ask.com"
FF - prefs.js..browser.search.defaultenginename: "Ask.com"
FF - prefs.js..browser.search.order.1: "Ask.com"
FF - prefs.js..browser.search.selectedEngine: "Ask.com"
FF - HKLM\Software\MozillaPlugins\@real.com/nsJSRealPlayerPlugin;version=: File not found
CHR - Extension: SweetIM for Facebook = C:\Users\Aśka\AppData\Local\Google\Chrome\User Data\Default\Extensions\jcdgjdiieiljkfkdcloehkohchhpekkn\1.0.0.0_0\Copy of
CHR - Extension: SweetIM for Facebook = C:\Users\Aśka\AppData\Local\Google\Chrome\User Data\Default\Extensions\jcdgjdiieiljkfkdcloehkohchhpekkn\1.0.0.0_0\
CHR - Extension: e_nihilator [aero] = C:\Users\Aśka\AppData\Local\Google\Chrome\User Data\Default\Extensions\napjanfglabcaeadgladlgepngaajafj\2.0_0\
CHR - Extension: SweetIM for Facebook = C:\Users\Aśka\AppData\Local\Google\Chrome\User Data\Default\Extensions\jcdgjdiieiljkfkdcloehkohchhpekkn\1.0.0.0_0\Copy of
CHR - Extension: SweetIM for Facebook = C:\Users\Aśka\AppData\Local\Google\Chrome\User Data\Default\Extensions\jcdgjdiieiljkfkdcloehkohchhpekkn\1.0.0.0_0\
CHR - Extension: e_nihilator [aero] = C:\Users\Aśka\AppData\Local\Google\Chrome\User Data\Default\Extensions\napjanfglabcaeadgladlgepngaajafj\2.0_0\
O16 - DPF: {C345E174-3E87-4F41-A01C-B066A90A49B4} Dostępne tylko dla zarejestrowanych użytkowników (WRC Class)
[2013/03/09 16:04:49 | 000,000,000 | ---D | C] -- C:\windows\temp
[2013/03/09 15:54:15 | 000,000,000 | ---D | C] -- C:\Users\Aśka\AppData\Local\temp
[2013/03/09 14:25:48 | 000,000,000 | ---D | C] -- C:\Qoobox
[2013/03/09 14:25:10 | 000,000,000 | ---D | C] -- C:\windows\erdnt
[2011/04/15 18:05:57 | 000,000,000 | ---D | M] -- C:\Users\Aśka\AppData\Roaming\OpenCandy
@Alternate Data Stream - 145 bytes -> C:\ProgramData\Temp:E1F04E8D
@Alternate Data Stream - 124 bytes -> C:\ProgramData\Temp:A42A9F39

:Files
C:\windows\tasks\*.*
C:\Users\Aśka\AppData\Local\Temp*.html

:Reg
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podaj log z Dostępne tylko dla zarejestrowanych użytkowników (z opcji Delete) + log z TDSSKiller + log z OTL.

[xasx]

To jest log z usuwania - Dostępne tylko dla zarejestrowanych użytkowników
Log z ADWCleaner (opcja Delete) - Dostępne tylko dla zarejestrowanych użytkowników
Log z TDSSKiller - Dostępne tylko dla zarejestrowanych użytkowników
Log z OTL - Dostępne tylko dla zarejestrowanych użytkowników

[kominekl]

ADWCleaner.

Odinstaluj.

Combofix.

Pobierz go na pulpit (nie uruchamiaj), a następnie wejdź w START -> URUCHOM -> i wklej tam -> "C:\Users\Aśka\Desktop\ComboFix.exe" /uninstall

Logi.

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

IE - HKU\S-1-5-21-3217695162-115095205-1628455998-1000\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&FORM=IE8SRC
IE - HKU\S-1-5-21-3217695162-115095205-1628455998-1000\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&FORM=IE8SRC
CHR - Extension: RealPlayer HTML5Video Downloader Extension = C:\Users\Aśka\AppData\Local\Google\Chrome\User Data\Default\Extensions\jfmjfhklogoienhpfnppmbcbjfjnkonk\1.5_0\
CHR - Extension: RealPlayer HTML5Video Downloader Extension = C:\Users\Aśka\AppData\Local\Google\Chrome\User Data\Default\Extensions\jfmjfhklogoienhpfnppmbcbjfjnkonk\1.5_0\
O3 - HKU\S-1-5-21-3217695162-115095205-1628455998-1000\..\Toolbar\WebBrowser: (no name) - {57CC715D-37CA-44E4-9EC2-8C2CBDDB25EC} - No CLSID value found.
[2013/03/20 23:26:11 | 000,000,000 | ---D | C] -- C:\windows\temp
[2013/03/09 15:54:15 | 000,000,000 | ---D | C] -- C:\Users\Aśka\AppData\Local\temp

:Files
$RECYCLE.BIN /alldrives

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podaj log z Autoruns.

[xasx]

Kurcze mam problem, bo kiedy wklejam "C:\Users\Aśka\Desktop\ComboFix.exe" /uninstall " komputer tego nie odnajduje, taki plik nie istnieje.

[kominekl]

Kurcze mam problem, bo kiedy wklejam "C:\Users\Aśka\Desktop\ComboFix.exe" /uninstall " komputer tego nie odnajduje, taki plik nie istnieje.

Nie znajduje, bo na końcu nie ma zamknięcia apostrofy. Wklej to:

"C:\Users\Aśka\Desktop\ComboFix.exe" /uninstall

[xasx]

Log z usuwania - Dostępne tylko dla zarejestrowanych użytkowników
Log z Autoruns -

Kod: Zaznacz cały

http://speedy.sh/N3TRr/AutoRuns.rar

[kominekl]

Autoruns.

W Autoruns odznacz, a następnie usuń (co się będzie dało):

HKLM\System\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\StartupPrograms

rdpclip

HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components

Microsoft Windows

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects

Wszystko.

HKLM\Software\Microsoft\Internet Explorer\Extensions

Wszystko.

Task Scheduler

Wszystko.

HKLM\System\CurrentControlSet\Services

AdobeARMservice
fsssvc
MDM
MozillaMaintenance
odserv
ose
ProtexisLicensing
PSI_SVC_2
WinDefend
WMPNetworkSvc

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify

igfxcui

Logi.

Następnie podajesz nowe logi z OTL.

[xasx]

OTL - Dostępne tylko dla zarejestrowanych użytkowników
Extras - Dostępne tylko dla zarejestrowanych użytkowników
A tak w ogóle to już mi się te reklamy nie pojawiają więc naprawdę bardzo dziękuję za pomoc

[kominekl]

OTL - Dostępne tylko dla zarejestrowanych użytkowników
Extras - Dostępne tylko dla zarejestrowanych użytkowników
A tak w ogóle to już mi się te reklamy nie pojawiają więc naprawdę bardzo dziękuję za pomoc

No ja myślę . W trybie awaryjnym spróbuj usunąć jeszcze wpisy, które odznaczyłeś (jeszcze się da).

[xasx]

odznaczyŁAŚ Jeszcze raz wielkie dzięki

[kominekl]

odznaczyŁAŚ Jeszcze raz wielkie dzięki

OK . Droga Pani ;* . . Jeśli to wykonałaś to podaj nowe logi z OTL. Trzeba dokończyć.

[xasx]

OTL - Dostępne tylko dla zarejestrowanych użytkowników
Extras - Dostępne tylko dla zarejestrowanych użytkowników
nie udało mi się usunąć tych plików:

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects
Wszystko.

HKLM\Software\Microsoft\Internet Explorer\Extensions
Wszystko.

nawet w trybie awaryjnym.

[kominekl]

Logi.

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

O2 - BHO: (no name) - AutorunsDisabled - No CLSID value found.
O20 - Winlogon\Notify\AutorunsDisabled: DllName - (Reg Error: Value error.) - Reg Error: Value error. File not found
[2013/03/21 21:42:37 | 000,000,000 | ---D | C] -- C:\windows\temp
[2013/03/09 15:54:15 | 000,000,000 | ---D | C] -- C:\Users\Aśka\AppData\Local\temp
[2013/03/21 20:15:14 | 000,000,000 | ---D | C] -- C:\windows\erdnt
[2013/03/21 21:52:49 | 000,049,833 | ---- | M] () -- C:\Users\Aśka\Desktop\AutoRuns.rar
[2013/03/21 21:51:14 | 002,097,884 | ---- | M] () -- C:\Users\Aśka\Desktop\AutoRuns.arn

:Files
$RECYCLE.BIN /alldrives
C:\Users\Aśka\AppData\Local\Temp*.html

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie w OTL -> Sprzątanie.

Starter Edition (Version = 6.1.7600) - Type = NTWorkstation

Zainstaluj Dostępne tylko dla zarejestrowanych użytkowników.

Internet Explorer (Version = 8.0.7600.16385)

Zaktualizuj IE do Dostępne tylko dla zarejestrowanych użytkowników (nawet, jeśli Go nie używasz).

"KLiteCodecPack_is1" = K-Lite Codec Pack 6.2.0 (Basic)

Odinstaluj i zainstaluj Dostępne tylko dla zarejestrowanych użytkowników wersję.

"{E633D396-5188-4E9D-8F6B-BFB8BF3467E8}" = Skype™ 5.1

Odinstaluj i zainstaluj Dostępne tylko dla zarejestrowanych użytkowników wersję.

Kroki Finalizujące.

Przeczyść dysk i rejestr Dostępne tylko dla zarejestrowanych użytkowników.
Wykonaj pełne skanowanie Dostępne tylko dla zarejestrowanych użytkowników (nie gódź się na wersję testową), jeśli coś znajdzie usuń i daj raport.